Kurzinfo

Das Loginfenster der Fernwartungsfunktion AMT (Active Management Technology) kann bei Intel-Prozessoren mit bestimmter Firmware-Verison durch einen Authentication Bypass umgangen werden und resultiert in der Erlangung höherer Rechte.

Treffsicherheit

Hohe Treffsicherheit

Authentication Bypass

Beschreibung

Die Fernwartungsfunktion AMT (Active Management Technology), wird von der ME (Management Engine) der betroffenen Intel-Prozessoren über eine eigene Firmware bereitgestellt. Die Technologie ermöglicht es, provisionierte Geräte aus der Ferne zu warten. Dazu müssen die Geräte entsprechend konfiguriert sein.

In AMT-Versionen mit veralteter Firmware ist eine Lücke enthalten, welche es einem Angreifer ermöglicht, sich als Administrator auf dem System anzumelden.

AMT wartet auf Port 16992, 16993, 623 und 624 auf eingehende Verbindungsanfragen. Über diese gelangt der Angreifer auf das Remote-Loginfenster, über welches er in weiterer Folge seinen Authentication-Bypass Angriff durchführt.

Welche Systeme sind betroffen?

Betroffen sind Geräte mit Intel-Prozessoren der 3. Generation (Core i3, Core i5, Core i7, Xeon, Penitum und Celeron) bzw. mit vPro-Technologie Unterstützung und einer ME-Firmwareversion 6.x, 7.x, 8.x, 9.x, 10.x 11.0, 11.5 und 11.6.

Geräte mit aktivierter AMT-Funktion und einer verwundbaren FW-Version sind anfällig für Angriffe.

AMT-Firmware Versionen
unsichersicher

6.x.x.x – 11.6.x.x mit einer Build-Version kleiner oder gleich 3000

(z.B. 9.5.22.1760)

6.x.x.x – 11.6.x.x mit einer Build-Version größer oder gleich 3000

(z.B. 11.6.27.3264)

 2.x.x.x – 5.x.x.x
 11.7.x.x oder größer

Was ist zu tun?

Ein notwendiger Schritt ist abhängig je nach Hersteller ein Firmware-Update, falls bereits ein Patch veröffentlicht wurde.

Für den Fall, dass kein Patch veröffentlicht wird, hat Intel einen Mitigation-Guide veröffentlicht in dem beschrieben steht, wie die Schwachstelle behoben wird. https://downloadcenter.intel.com/download/26754

Es wird empfohlen den LMS (Intel Management and Security Application Local Management Service) zu deaktivieren. Er nimmt Anfragen über die ME-Ports 16992, 16993, 623, 624 entgegen und leitet diese an die Firmware weiter.

https://www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-Intel-Systemen-seit-2010-3700880.html

https://www.heise.de/ct/artikel/Spekulationen-um-geheime-Hintertueren-in-Intel-Chipsaetzen-1968742.html

https://www.tenable.com/blog/intel-amt-vulnerability-detection-with-nessus-and-pvs-intel-sa-00075

  • No labels